Zamulający komputer + inne ciekawe zdarzenia

[Peter17]

Witam,

od jakiegoś miesiąca strasznie spadła wydajność mojego komputera. Myślałem, że "jakoś samo się naprawi", ale to nie nastąpiło. Oprócz tego, że foldery otwierają sie 10-20 sek to kliknięcie na przycisk "właściwości" na jakimś pliku lub folderze to zawieszenie komputera na ok. minutę. Start komputera też jest strasznie wolny. Podczas wyłączania dzieje się inna ciekawa rzecz, konkretnie raz na ok 5 wyłączeń mogę podziwiać napis "Trwa zamykanie systemu Windows..." i tak w nieskończoność. Muszę wtedy robić reset komputera i zamykać go zaraz po starcie. Podczas uruchamiania, czasami wyskakuje na sekundę "Windowsowa konsola" bez tytułu na górnym pasku (???) Podejrzewam, że za tym wszystkim może stać jakaś infekcja.

Liczę na pomoc i z góry dziękuję,

Piotrek.

 

Do postu załączone wymagane logi z OTL + kilka dodatkowych. w pliku .zip

 

OTL.Txt

Extras.Txt

 

http://speedy.sh/Ktpdw/Dodatkowe.zip

[picasso]

Zabrakło obowiązkowego raportu z GMER. Póki co, w OTL żadnych jawnych śladów infekcji. Są te niesprecyzowane zadania w Harmonogramie, ale to nazwy ogólne i mogą kierować na prawidłowe lub szkodliwe pliki:

 

[2013-01-17 20:40:07 | 000,000,476 | ---- | M] () -- C:\WINDOWS\tasks\At2.job
[2013-01-17 15:17:01 | 000,000,476 | ---- | M] () -- C:\WINDOWS\tasks\At3.job
[2013-01-17 14:00:02 | 000,000,476 | ---- | M] () -- C:\WINDOWS\tasks\At4.job
[2013-01-17 10:10:02 | 000,000,476 | ---- | M] () -- C:\WINDOWS\tasks\At1.job

 

Uruchom Autoruns i w karcie Scheduled Tasks sprawdź jakie są docelowe pliki tych zadań AT*.

 

 

od jakiegoś miesiąca strasznie spadła wydajność mojego komputera

 

Podejrzani:

 

1. Potężny plik HOSTS (immunizacja Spybot Search & Destroy) przetwarzający ponad 15 tysięcy wpisów:

 

O1 HOSTS File: ([2012-12-22 14:25:03 | 000,444,851 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1	-h-n7y15mc.firoli-sys.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	www.007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	www.008k.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	www.00hq.com
O1 - Hosts: 127.0.0.1	010402.com
O1 - Hosts: 127.0.0.1	032439.com
O1 - Hosts: 127.0.0.1	www.032439.com
O1 - Hosts: 127.0.0.1	0scan.com
O1 - Hosts: 127.0.0.1	www.0scan.com
O1 - Hosts: 127.0.0.1	1-2005-search.com
O1 - Hosts: 127.0.0.1	www.1-2005-search.com
O1 - Hosts: 127.0.0.1	1-domains-registrations.com
O1 - Hosts: 127.0.0.1	www.1-domains-registrations.com
O1 - Hosts: 127.0.0.1	1000gratisproben.com
O1 - Hosts: 127.0.0.1	www.1000gratisproben.com
O1 - Hosts: 127.0.0.1	1001namen.com
O1 - Hosts: 127.0.0.1	www.1001namen.com
O1 - Hosts: 127.0.0.1	100888290cs.com
O1 - Hosts: 127.0.0.1	www.100888290cs.com
O1 - Hosts: 127.0.0.1	100sexlinks.com
O1 - Hosts: 15280 more lines...

 

Taki nabój wchodzi w kolizję z usługą Klient DNS, która może się męczyć i spowalniać system. I tu się coś dzieje z usługą Klient DNS, tzn. w Dzienniku zdarzeń błędy:

 

Error - 2013-01-17 10:54:09 | Computer Name = USER-9E01C2B076 | Source = Service Control Manager | ID = 7034
Description = Usługa Klient DNS niespodziewanie zakończyła pracę. Wystąpiło to razy:
 1.

 

Przywróć domyślny plik HOSTS posiłkując się narzędziem Fix-it z artykułu: KB972034. I odinstaluj Spybot - Search & Destroy, widzę jego wpis na liście zainstalowanych.

 

2. Oprogramowanie zabezpieczające. Czy sprawdzałeś jak system chodzi bez SnoopFree Privacy Shield:

 

========== Modules (No Company Name) ==========
 
MOD - [2010-01-23 09:06:55 | 000,045,056 | ---- | M] () -- C:\WINDOWS\SnoopFreeDll.dll
MOD - [2010-01-23 09:06:54 | 000,090,112 | ---- | M] () -- C:\WINDOWS\system32\SnoopFreeSvc.exe

 

Jeszcze zwraca uwagę w raporcie ESET, scrackowany na dodatek.

 

 

 

PS. I usuń puste wpisy. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O8 - Extra context menu item: Download Video - "http://www.viloader.net/addon.htm" File not found
O8 - Extra context menu item: Pobierz używając Download &Express'a - C:\Program Files\Download Express\Add_Url.htm File not found
O9 - Extra Button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found
O9 - Extra 'Tools' menuitem : Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} "http://java.sun.com/products/plugin/autodl/jinstall-1_4_0_03-win.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\LV302AV.SYS -- (PID_08A0)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lv302af.sys -- (pepifilter)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\Pcouffin.sys -- (Pcouffin)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\lvusbsta.sys -- (LVUSBSta)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ALCXWDM.SYS -- (ALCXWDM)
[2012-12-28 15:22:35 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\All Users\Dane aplikacji\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
[2012-07-21 18:21:50 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Common Files
[2012-12-28 15:32:11 | 000,000,000 | ---D | M] -- C:\Documents and Settings\USER\Dane aplikacji\TuneUp Software

 

Klik w Wykonaj skrypt.

 

 

.

[Peter17]

Zadania w harmonogramie były związane z oprogramowaniem (HP) do drukarki, na wszelki wypadek usunięte.

Przywróciłem domyślny plik hosts.

Odinstalowałem Spybot'a i SnoopFree Privac Shield.

Wykonałem skrypt w OTL.

Ze swojej strony wyłączyłem kilka niepotrzebnych usług i zainstalowałem aktualizacje do systemu.

Załączam do posta logi (czyszczenia w OTL, z GMER'a oraz Defogger'a).

Gmer nie zakomunikował nic o obecności rootkitów.

Co teraz ?

GMERLOG.txt

defogger_disable.txt

otl.txt

[picasso]

Skrypt wykonany i w tym zakresie Sprzątanie w OTL + czyszczenie folderów Przywracania systemu (KLIK).

 

Nie wypowiadasz się nic czy przeprowadzone akcje miały jakiekolwiek pozytywne skutki. Jeśli nadal są problemy ze spowolnieniem, to jak mówiłam kolejny podejrzany na liście to ESET, raport z GMER wskazuje, że jego jeszcze nie ruszyłeś.

 

 

.